Win32.Troj.Agent.139776

1.复制文件：
%sys32dir%\system32\CesMain.exe
%sys32dir%\system32\CesMain.dll
%sys32dir%\system32\CesMain2.dll

2.添加到到注册表：
添加以下键值，随系统启动：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CesMain]
ImagePath“C:\WINDOWS\system32\CesMain.exe”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\P3Global]
EnabledREG_DWORD:00000001

3.破坏方式
该木马运行后，复制自身到system32下并激活，后台启动IE进程，修改IE设置，通过释放的DLL注入系统进程，添加服务
实现开机自动启动。
启动IE进程：
CesMain.exe启动 IEXPLORE.EXE about:blank
命令行："C:\Program Files\Internet Explorer\iexplore.exe" about:blank
后台启动IE后，木马注入到IE进程中，同时修改了IE安全设置，配合其他木马或病毒对系统造成破坏。